无线Ad H0c网络中MAC层DoS攻击检测系统的设计

文章在引入拒绝服务攻击(DoS)和分布式拒绝服务(DDoS)攻击的原理的基础上,讨论了无线Ad Hoc网络可能遭受的拒绝服务攻击类型,针对其中的MAC层拒绝服务攻击提出了一种检测系统设计方案,并描述了该方案的算法流程和多线程数据处理步骤,最后通过仿真对该检测系统在失效告警率和内存占用率两方面的性能进行了分析.     

基于多路径切换的无线传感器网络DoS攻击防御研究

由于无线传感器网络通常工作在无人值守的环境中,因此容易遭受到各种拒绝服务攻击。如何避开受攻击的网络区域而将数据安全传输至目的地对于减少拒绝服务攻击的危害和维护网络可用性有着至关重要的意义。文章首先讨论了传输路径的建立,然后基于这个模型研究了当网络中存在拒绝服务攻击时,节点如何进行传输路径的重建和切换,最后是对该领域研究的总结和展望。     

无线传感器网络的拒绝服务攻击

在无线传感器网络的应用中,维护网络的可用性是尤为重要的。拒绝服务的攻击(Denial-of-service,DoS) 就是要降低甚至摧毁整个网络的功能,让网络彻底不可用。鉴于传感器节点自身资源的限制,必须要采取一些恰当的安全机制来预防拒绝服务的攻击。文章从传感器网络各层所遭受的各种常见的拒绝服务攻击出发,探讨传感器节点应对DoS 攻击的策略与方法。     

软件定义网络抗拒绝服务攻击的流表溢出防护

针对拒绝服务攻击导致软件定义网络交换机有限的流表空间溢出、正常的网络报文无法被安装流表规则、报文转发时延、丢包等情况，提出了抗拒绝服务攻击的软件定义网络流表溢出防护技术Flood Mitigation，采用基于流表可用空间的限速流规则安装管理，限制出现拒绝服务攻击的交换机端口的流规则最大安装速度和占用的流表空间数量，避免了流表溢出。此外，采用基于可用流表空间的路径选择，在多条转发路径的交换机间均衡流表利用率，避免转发网络报文过程中出现网络新流汇聚导致的再次拒绝服务攻击。实验结果表明，Flood Mitigation在防止交换机流表溢出、避免网络报文丢失、降低控制器资源消耗、确保网络报文转发时延等方面能够有效地缓解拒绝服务攻击的危害。     

基于可集的无线传感器网络路由切换协议

由于无线传感器网络通常工作在无人值守的环境中，因此容易遭受到各种拒绝服务攻击。如何避开受攻击的网络区域而将数据安全传输至目的地对于减少拒绝服务攻击的危害和维护网络可用性有着至关得要的意义。首先讨论了节点可信集模型的建立，然后基于这个模型研究了在不同的网络区域中节点对下一跳路由的选择。并提出了一种路由的保护机制，最后是对该领域研究的总结和展望。     

分布式拒绝服务攻击研究新进展综述

 分布式拒绝服务攻击一直是网络安全领域的研究难点.本文在进一步分析分布式拒绝服务攻击的危害及其原因的基础上,重点综述了2005年以后对该问题的研究和解决方案,主要包括:基于网络服务提供商的网络过滤、基于校验工作、基于重叠网络和基于网络功能.通过分析它们的优缺点,总结出可部署的解决方案的特点,并对今后的研究进行了展望.     

基于可信集的无线传感器网络路由切换协议

由于无线传感器网络通常工作在无人值守的环境中，因此容易遭受到各种拒绝服务攻击。如何避开受攻击的网络区域而将数据安全传输至目的地对于减少拒绝服务攻击的危害和维护网络可用性有着至关重要的意义。首先讨论了节点可信集模型的建立，然后基于这个模型研究了在不同的网络区域中节点对下一跳路由的选择，并提出了一种路由的保护机制，最后是对该领域研究的总结和展望。     

无线Ad Hoc网络中MAC层DoS攻击检测系统的设计

文章在引入拒绝服务攻击（DOS）和分布武拒绝服务（DDoS）攻击的原理的基础上．讨论了无线Ad Hoc网络可能遭受的拒绝服务攻击类型，针对其中的MAC层拒绝服务攻击提出了一种检测系统设计方案。并描述了该方案的算法流程和多线程数据处理步骤．最后通过仿真对该检测系统在失效告警率和内存占用率两方面的性能进行了分析。     

助力DDoS防护 Arbor提出流量清洗方案

网络的普及以及用户数量的大量增加为网上业务遭受分布式拒绝服务(DDoS)攻击埋下了祸根。为了保证业务的可用性,Arbor公司在十年间坚持深入研究防护手段,从而有效应对流量式拒绝服务攻击与应用层拒绝服务攻击。阻击恶意攻击近日,长沙警方与香港警方联手侦     

浅谈电信网络环境下的DDOS攻击防护技术

近年来,随着网络技术的快速发展及广泛普及,网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视,而电信运营商网络几乎成为拒绝服务攻击(DDOS)的首选攻击对象。本文主要以中华通信系统研发的基于ISP网络的拒绝服务攻击防御系统为例简要分析DDOS攻击以及在电信网络环境下的DDOS攻击防护技术。     

Efficient authenticated key agreement protocols resistant to a denial‐of‐service attack

Malicious intruders may launch as many invalid requests as possible without establishing a server connection to bring server service to a standstill. This is called a denial‐of‐service (DoS) or distributed DoS (DDoS) attack. Until now, there has been no complete solution to resisting a DoS/DDoS attack. Therefore, it is an important network security issue to reduce the impact of a DoS/DDoS attack. A resource‐exhaustion attack on a server is one kind of denial‐of‐service attack. In this article we address the resource‐exhaustion problem in authentication and key agreement protocols. The resource‐exhaustion attack consists of both the CPU‐exhaustion attack and the storage‐exhaustion attack. In 2001, Hirose and Matsuura proposed an authenticated key agreement protocol (AKAP) that was the first protocol simultaneously resistant to both the CPU‐exhaustion attack and the storage‐exhaustion attack. However, their protocol is time‐consuming for legal users in order to withstand the DoS attack. Therefore, in this paper, we propose a slight modification to the Hirose–Matsuura protocol to reduce the computation cost. Both the Hirose–Matsuura and the modified protocols provide implicit key confirmation. Also, we propose another authenticated key agreement protocol with explicit key confirmation. The new protocol requires less computation cost. Because DoS/DDoS attacks come in a variety of forms, the proposed protocols cannot fully disallow a DoS/DDoS attack. However, they reduce the effect of such an attack and thus make it more difficult for the attack to succeed. Copyright © 2005 John Wiley & Sons, Ltd.     

Analysis and improvement of the Internet‐Draft IKEv3 protocol

Internet protocol (IP) is the kernel of the TCP/IP protocol family. Because IP is the only one that is shared by all high‐level protocols in TCP/IP. So the security of the IP is particularly important to the whole communication network. Fortunately, IPsec provides excellent protection for the kIP security. As a part of the IPsec, Internet Key Exchange (IKE) protocol can achieve security association negotiation, key generation, and identity authentication. The study of IKEv2, both in its application and security analysis, has been relatively mature. When the Internet Engineering Task Force published the Internet‐Draft IKEv3 protocol, there is not much attention and research on it. In this paper, we analyze the security and authentication of IKEv3 by formal verification and show that IKEv3 is susceptible to reflection attack and DoS attack. Then we propose a new variant of the IKEv3 protocol, which both resists reflection attack and mitigates the impact of the DoS attack.     

基于聚合签名算法的DSR路由认证技术

分析了Ad Hoc网络中DSR按需路由发现原理及黑洞攻击原理,针对DSR路由协议面临的黑洞攻击问题,提出了一种基于JYH聚合签名算法的路由记录认证机制,新方案在DSR路由请求和路由应答消息中定义了路径证明属性,并设计了与之适应的输入签名算法和输出验证算法;最后,采用形式化逻辑SVO方法对该路由记录认证机制的安全性进行了分析。分析表明,提出的路由记录认证机制可以有效抵御针对DSR路由协议的黑洞攻击。     

一种泛在网络的安全认证协议

泛在网络是标准的异质异构网络,保证用户在网络间的切换安全是当前泛在网的一个研究热点。该文对适用于异构网络间切换的认证协议EAP-AKA进行分析,指出该协议有着高认证时延,且面临着用户身份泄露、中间人攻击、DoS攻击等安全威胁,此外接入网络接入点的有效性在EAP-AKA协议中也没有得到验证,使得用户终端即使经过了复杂的认证过程也不能避免多种攻击。针对以上安全漏洞,该文提出一种改进的安全认证协议,将传统EAP-AKA的适用性从3G系统扩展到泛在网络中。新协议对传播时延和效率进行完善,为用户和接入点的身份信息提供有效性保护,避免主会话密钥泄露,采用椭圆曲线Diffie Hellman算法生成对称密钥,在每次认证会话时生成随机的共享密钥,并实现用户终端与家乡域网络的相互认证。通过开展实验,对协议进行比较分析,验证了新协议的有效性及高效率。     

基于SIP的终端用户身份认证机制的研究

SIP协议是NGN中的重要协议,其安全性一直备受人们的关注。然而SIP协议中已存在的安全机制不能完全地确认发起SIP请求的终端用户的身份。首先分析现有的身份认证机制存在的问题,然后介绍一种增强的身份认证管理的设计方案,它能在现在的网络环境中有效地对发起请求的终端用户进行身份认证。     

Modeling and performance analysis of a new secure address resolution protocol

Address Resolution Protocol (ARP) is an essential protocol for the operation of local area networks. It is used for mapping the logical address to the physical address. However, ARP was designed without any security features. Therefore, ARP is vulnerable to many ARP spoofing attacks, such as the host impersonation, man‐in‐the‐middle (MITM), and denial of service (DoS) attacks. Many techniques were introduced in the literature for mitigating ARP spoofing attack. However, they could not provide protection against the host impersonation and DoS attacks. This work introduces a new technique to secure address resolution protocol called ARP Authentication (ARP‐A). The proposed technique provides authentication for ARP messages and entities. In addition, it converts ARP from a stateless to a stateful protocol. To evaluate the performance of ARP‐A, it was implemented on Linux. To investigate the scalability of ARP‐A, a new analytical model was designed for it using stochastic reward nets. The results show that, compared with other related schemes introduced in the literature, ARP‐A is more efficient in terms of security and performance.     

新的车辆远程诊断授权协议

诊断主体授权问题是车辆远程故障诊断中的关键问题。针对当前车辆远程诊断授权协议（PVAUDS）中存在的问题,提出了新的车辆远程诊断授权协议（PVAUDS+）。在保证原协议安全目标的前提下,为诊断主体提供双向认证和票据新鲜性验证,并保证发送票据的可信第三方能够有效抵御拒绝服务攻击。使用安全协议证明工具ProVerif对PVAUDS+协议的安全属性进行自动化证明,通过增加发起代价的机制解决对可信第三方的拒绝服务攻击问题,从而说明PVAUSD+协议能够满足提出的安全目标。定量分析结果说明本协议具有较好的可行性。     

异构无线网络可控匿名漫游认证协议

分析传统的匿名漫游认证协议,指出其存在匿名不可控和通信时延较大的不足,针对上述问题,本文提出异构无线网络可控匿名漫游认证协议,远程网络认证服务器基于1轮消息交互即可完成对移动终端的身份合法性验证;并且当移动终端发生恶意操作时,家乡网络认证服务器可协助远程网络认证服务器撤销移动终端的身份匿名性.本文协议在实现匿名认证的同时,有效防止恶意行为的发生,且其通信时延较小.安全性证明表明本文协议在CK安全模型中是可证安全的.     

选择认可动态逻辑

本文提出了一种用于分析网络安全协议的形式化逻辑－－选择认可动态逻辑。该逻辑重视通信实体间的明文信息，通过对通信实体之间交换信息的状态的演绎，刻划了通信各方对信息的获取以及由此产生的攻击行为，预其享密钥交换协议是IPSes中IKE的验证模式之一。本文利用选择认可动态逻辑对该协议进行了演绎，剖析了其认证过程和密钥生成的关键所在，随后对该协议的局限性和野蛮模式下的特点进行了评估。     

一种WLAN Mesh网络漫游接入认证协议

针对WLAN Mesh网络节点漫游接入过程中现有协议的不足,通过利用EMSA(efficient mesh security association)初始认证过程中所建立的安全链路和消息认证码技术,并引入修改后的DH(Diffie Hellman)密钥交换过程,提出了一种能有效满足漫游接入性能和安全性需求的接入认证协议。该协议不仅具有基本的SK(session key,会话密钥)安全属性,还具有较小的接入时延,能够适应Mesh网络拓扑变化的特性,在完成双向接入认证过程的同时,完成了密钥的生成,并能较好地隐藏终端节点的身份信息。